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Als ik de status van mijn netwerk- 
verbinding nakijk, zie ik verzonden en 
ontvangen bytes. Zonder iets te doen, 
loopt het aantal verzonden bytes 
toch op… Hoe vis ik uit wie of wat 
welke gegevens doorstuurt of opvraagt en waar ze 
naartoe gaan? En hoe stop ik zulk dataverkeer? 
‚_YVAN VAN CANEGHEM 


Hoe kom ik te 
weten wie mijn 
internet gebruikt? 


Zeldzaam zijn de computers die niet met het 
internet of zelfs met andere pc's in een netwerkje 
verbonden zijn. Dat levert natuurlijk heel wat 
netwerkverkeer op en voor een gebruiker is het 
vaak lastig om uit te vissen welke gegevens zijn 
netwerkadapter passeren of waar die datastroom 
precies heen gaat. In dit artikel brengen we een aantal 
gratis tools en technieken samen die een en ander in 


KOMT ER IEMAND 4 ZEKEND Voor 2 kaart brengen. 

Lees meer hierover in 
de workshop op de 
volgende pagina! 


VERDACHT NETWERK VERKEER 
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Wat doen we? 


Nagaan wie of wat 
onze netwerkverbinding 
gebruikt en waarvoor 


Waarmee? 


Windows-tools, 
NetLimiter 2, 
TCPView 


Hoelang? 
Een halfuurtje 


Moeilijkheid? 
Kk Ak 


VERDACHT NETWERKVERKEER? 


STAPT / JE EIGEN NETWERK: WIE IS ACTIEF? 


Laten we eerst eens kijken hoe het met ons eigen netwerkje 
zit. Misschien zijn er (ongewild?) wel een paar mappen op je 
pc gedeeld en is zoonlief druk in de weer via het netwerkje 
allerlei gegevens in te lezen of weg te schrijven. In Windows 
vis je snel uit welke computers actief zijn binnen je netwerk. 
Tik hiervoor de opdracht cmd in bij Urrvoeren (XP) of bij Zoek- 
OPDRACHT STARTEN (Vista) en voer het volgende commando op de 
opdrachtregel uit: net view (bevestig met de Enrer- 
toets). Even later krijg je de computernamen van de actieve 
toestellen te zien. Maar er is meer: tik bij Urrvoeren/Zoekor- 
DRACHT STARTEN maar even de opdracht fsmgmt.msc in en druk 
op OK. Er verschijnt een venster waarin je bij Shares een 
overzicht van alle gedeelde mappen ziet. Bij Sessies zie je dan 
weer welke gebruiker hoelang met je pc verbonden is en 
hoeveel bestanden hij op dit ogenblik geopend houdt, en bij 
GEOPENDE BESTANDEN lees je af om welke bestanden het precies 
gaat. Door een item met de rechtermuisknop aan te klikken, 
kan je shares of sessies beëindigen, of het bestand sluiten 
(zie afbeelding 1). 
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Werbinding met alle sessies verbreken 


Een snel overzicht van (actieve) shares. 


STAP 2 / HET INTERNET: WELKE PROGRAMMA'S 
ZIJN ACTIEF? 


Om na te gaan welke programma’s er op een bepaald mo- 
ment gegevens ontvangen van of versturen naar het inter- 
net kan je in eerste instantie gebruik maken van het ge- 
bruiksvriendelijke NetLimiter 2 Monitor www.netlimiter.com. 
De gratis versie volstaat voor onze doeleinden, wat niet 
wegneemt dat de commerciële varianten handigheden heb- 
ben ingebouwd als een bandbreedtebegrenzer die je per 
applicatie kan instellen — sorry, zoon, voortaan geen ein- 
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Software (C) NetLimiter 2 is ready, 


Messenger en Firefox: betrapt! 


Speuren voor gevorderden 


In stap 4 hebben we het even over ‘proces- 
sen’… Dat zijn, zeg maar, computeractivitei- 
ten afkomstig van een toepassing, maar net 
zo goed van een of andere service die (hei- 
melijk?) op de achtergrond draait. Een goede, 
gratis tool om processen bloot te leggen die 
netwerkverkeer genereren, is TCPView http:// 
technet.microsoft.com/en-us/sysinternals/hb897437. 
aspx. Installeer de tool en start die op. Surf 
opnieuw naar www.clickx.be. Je zal merken dat 
het proces, afkomstig van je browser, onder 
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meer een verbinding legt met easyhost.be. 
Zie je liever de achterliggende ip-adressen 
dan de hostnaam, open dan het menu Options 
en verwijder het vinkje bij Resouve Appress. De 
verbindingen waarvoor je echter vooral be- 
ducht moet zijn, zijn de processen die je niet 
meteen thuis kan brengen én die de status 
LISTENING meekrijgen — anders gezegd: die 
hun oor te luisteren leggen naar instructies 
afkomstig van een (externe) server. Je kan 
een verdachte connectie ook altijd stopzet- 


ten door die met de rechtermuisknop aan te 
klikken, Enp Process te kiezen en met Ja te 
bevestigen. 

Een kei in het blootleggen van netwerkverkeer 
is het eveneens gratis Wireshark www.wireshark. 
org. Deze tool vangt elke byte uit je netwerk- 
kaart op en analyseert die. Wie de resultaten 
daarvan correct wil interpreteren, moet ech- 
ter behoorlijk wat kaas hebben gegeten van 
netwerkprotocollen. Een brug(je) te ver dus 
voor deze workshop. 
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InetLimiter 2 Monitor 
File View Help 


Download Speed 


deloze downloads met BitTorrent meer. Installeer de tool 
en start die op via het nieuwe icoontje in de Windows 
taakbalk. Zorg dat je bij Zone Internet hebt gekozen, tenzij 
je geïnteresseerd bent in welke toepassingen netwerkver- 
keer genereren binnen je eigen netwerkje; in dat geval 
selecteer je Loca Network. Zodra een toepassing of proces 
met het internet communiceert, merk je dat meteen aan 
de inkomende en/of uitgaande transfersnelheden (zie af- 
beelding 2). 


STAP 3 / STATISTIEKEN OPVRAGEN 


NetLimiter 2 Monitor toont je echter niet alleen de actu- 
ele transfers, maar houdt ook nauwgezet een historiek bij 
van het netwerkverkeer van elke toepassing. Wil je bijvoor- 
beeld van een bepaald item weten hoeveel data dit eigen- 
lijk al versast heeft over een bepaalde periode — waarin 
ook NetLimiter 2 actief was, uiteraard — klik er dan op met 
de rechtermuisknop en selecteer Show Stars. Je krijgt met- 
een een gedetailleerd overzicht van het aantal ontvangen 
en verstuurde data over een periode die je zelf kan instel- 
len (kies Orner). Ook deze informatie kan best verhelderend 
zijn! Kan je het aangeklikte item niet meteen identificeren, 
klik er dan nogmaals op met de rechtermuisknop en kies 
SHOW APPLICATION NAME, FuLL PATH en ook SHow APPLICATION NAME, 
Description. Zet dat je nog altijd niet op weg, dan brengt 
een speurtocht via Google, met als zoekterm de naam van 
de toepassing, je wellicht op het juiste spoor… 
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Waar gaan de data naartoe? 
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STAP 4 / DIEPER GRAVEN 


Maar er is meer… We kunnen ons best voorstellen dat je ook 
wil weten wat zo’n programma precies met je netwerkkaart 
uitspookt en waar het de gegevens naartoe stuurt. Ook dat vis 
je uit met NetLimiter 2 Monitor. Een voorbeeld: start je brow- 
ser op en surf naar www.clickx.be. NetLimiter 2 registreert dit 
verkeer: klik op het plusje in de lijst naast je browser en open 
ook de bijhorende, genummerde processen. Je ziet een paar 
ip-adressen verschijnen. Wat ons vooral interesseert, is het 
uitgaande verkeer — met een blauw pijltje naar rechts dus (zie 
afbeelding 4). Wellicht zie je hier onder meer 193.74.68.118:80 
verschijnen. 80 is de standaardpoort voor browsers, en als je 
op een site als www.samspade.org het bewuste ip-adres intikt, 
vertelt een whois-query dat je op een webserver belandt, ge- 
host door Easyhost in Diegem — inderdaad de webhost van 
Clickx Magazine. Het kan ook gebeuren dat je verdacht verkeer 
opmerkt van een andere applicatie dan je browser en dat je 
dus ook een ander poortnummer ziet verschijnen. Een goed 
overzicht van de belangrijkste poortnummers vind je onder 
meer op www.iana.org/assignments/port-numbers en op www.iss. 
net/security_center/advice/Exploits/Ports. Op deze laatste kan je 
zelfs doorklikken op zo'n nummer om bekende hackerexploits 
op die poort op te vragen. 


STAP 5 / HOUD DE DIEF! 


Stel, je bent inderdaad op verdachte netwerkactiviteit ge- 
botst, en dankzij stappen 2 tot 4 en het kaderstukje ken je de 
toepassing of het proces dat daarvoor verantwoordelijk is. In 
het kaderstukje lees je hoe je zo’n proces tijdelijk kan stopzet- 
ten, maar de bedoeling is natuurlijk om de dader definitief het 
zwijgen op te leggen. Gaat het om een geïnstalleerde toepas- 
sing, dan hoef je die maar te deïnstalleren. Kan je ze niet 
meteen thuisbrengen, of duikt ze de volgende keren halsstar- 
rig weer op, dan leg je die best het vuur aan de schenen met 
up-to-date antimalware — met name een antispywaretool als 
Windows Defender en een of meer antirootkittools (zie www. 
antirootkit.com/software) (zie afbeelding 5). Mogelijk vind je met 
behulp van de informatie die je in de vorige stappen op het 
spoor bent gekomen online ook tips om specifieke malware te 
verwijderen. Het is trouwens geen slecht idee om je systeem 
proactief te beschermen met een gratis tool als ThreatFire 
www.threatfire.com, en natuurlijk heb je ook een firewall paraat. 
Goede jacht gewenst! « 
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Hou antimalwaretools in de aanslag! 


VAKTAAL 


EXPLOIT: Een tooltje dat ge- 
bruikt wordt door hackers en 
een beveiligingsfout in een be- 
paalde toepassing blootlegt. 


WHOIS: Een database met do- 
meinnamen. Als je een whois- 
query uitvoert, kom je te weten 
wie er schuil gaat achter een 
bepaald ip-adres. 
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